7月23日消息,据国外媒体报道,在过去的十年里,苹果一直努力确保iPhone成为市场上最安全的设备之一。通过锁定软件,苹果保护了20亿苹果用户的安全。但是安全研究人员说,这也使得他们不可能在引擎盖下寻找更多隐藏的安全漏洞。
然而,苹果逐渐改变了这种方式。在去年的黑帽安全会议上,苹果的安全主管伊万克里斯提奇(Ivan Chrystic)表示,苹果将推出一个安全研究设备计划,为其最值得信赖的安全研究人员提供“特殊”的iPhone,让他们能够以前所未有的方式探索设备内部,让苹果更容易发现和修复安全漏洞。
从美国当地时间周三开始,苹果将开始向合格且经过审查的研究人员提供这些特殊的苹果手机。这些研究型iPhone“仅在安全研究的受控环境中使用”,并且它们将配备特定的iOS软件,这些软件具有普通iPhone所不具备的功能,例如SSH访问权限和以最高权限运行自定义命令的根Shell,以及调试工具,这些工具使安全研究人员能够更容易地运行代码并更好地了解表面下发生的事情。
这些特殊的研究设备本身并不新鲜,但它们以前从未被直接提供给研究人员。众所周知,一些研究人员已经在地下市场获得了这些内部所谓的“开发集成”设备,并对其进行了测试。那些不幸的人必须首先依靠“越狱”的苹果手机来接触设备的内部结构。然而,这些越狱技术很少应用于最新的苹果手机,这使得黑客更难知道他们发现的漏洞是否可以被利用或已经被修复。
苹果公司希望通过向顶级黑客提供最新的“越狱”iPhone,取消一些常规的安全限制,让可信的安全研究人员和黑客更容易发现软件中以前没有发现的漏洞。尽管这些研究手机对黑客更开放,但苹果表示,即使这些设备丢失或被盗,它们也不会对任何其他苹果手机的安全构成威胁。
这些设备的有效期为12个月,可以更新,并且仍然是苹果公司的财产。它们不能用于个人日常使用,必须始终停留在计划设定的特定位置。此外,特殊苹果手机的访问和使用必须仅限于苹果授权的人。这些设备只对苹果开发者计划的用户开放,这些用户有在苹果平台或“其他现代操作系统和平台”上发现安全问题的成功记录。
2016年,苹果首次推出了漏洞奖励计划,向发现iOS中可能损害苹果手机和iPad安全的漏洞的研究人员提供奖励。去年,苹果公司宣布其漏洞奖励计划将与安全研究设备计划一起运行,允许研究人员照常提交他们的研究设备漏洞,并获得经济奖励。苹果支付了高达100万美元的奖金。此外,苹果将为公司预发布软件中发现的最严重漏洞支付高达50%的额外奖金。这意味着发现漏洞的黑客可以获得高达150万美元的奖励。(小)